image

Persoonsgegevens Utrechters onbeveiligd op intranet gemeente

donderdag 1 september 2016, 12:25 door Redactie, 11 reacties

De persoonsgegevens van duizenden Utrechters waren eerder dit jaar onbeveiligd op het intranet van de gemeente opgeslagen. Het ging om 316 pagina’s met namen en bijbehorende burgerservicenummers van minimaal 5000 en maximaal 140.000 personen, zo meldt de Telegraaf vandaag.

Het datalek werd op 3 maart door een ambtenaar ontdekt. De gemeente waarschuwde de Autoriteit Persoonsgegevens. Overigens één dag later dan de 72 uur die door de meldplicht datalekken verplicht wordt gesteld. Na ontdekking van de kwetsbaarheid is de intranetsite "dichtgezet". Om welke website het gaat heeft de gemeente niet bekendgemaakt. Ook zijn de getroffen personen van wie de gegevens zijn niet gewaarschuwd. Volgens de gemeente, waar 4.000 mensen werken, is het onwaarschijnlijk dat de blootgestelde gegevens zijn ingezien of misbruikt, aangezien die zich op het intranet bevonden.

In een verslag (pdf) van de voorjaarsnota en eerste bestuursrapportage van dit jaar stelt de gemeente dat het haar processen en systemen nog onvoldoende onder controle heeft om datalekken te voorkomen of minimaliseren. "In het afgelopen kwartaal deden zich 9 datalekken voor, waarvan wij er 2 hebben moeten melden bij de Autoriteit Persoonsgegevens. Om dit in de toekomst te voorkomen richten wij nieuwe voorzieningen voor identity management en informatieuitwisseling in. Ook zullen wij jaarlijks (verplichte) audits uitvoeren."

Reacties (11)
01-09-2016, 13:04 door Anoniem
Topje van de ijsberg dit. Enige manier om de problemen in te dammen is om proactief dingen te verwijderen (al dan niet alvorens naar een versleutelde cold back-up te zijn gekopieerd waaraan ook een retentie hangt). Leer leven met de gedachte dat niet alles voor eeuwig moet worden opgeslagen en de problemen worden een stuk behapbaarder.

Een andere oplossing zou kunnen zijn om te accepteren dat we te veel zaken te lang opslaan, dat ze zullen uitlekken en worden misbruikt. Falsificatie zou hierin een oplossing kunnen zijn; sla zoveel onzin op dat de informatie in waarde daalt, misbruik lastiger en detectie makkelijker wordt.

Volgens de gemeente, waar 4.000 mensen werken, is het onwaarschijnlijk dat de blootgestelde gegevens zijn ingezien of misbruikt, aangezien die zich op het intranet bevonden.

OT: dit is natuurlijk grootse onzin. Op geen enkele gemeente PC is in die periode malware gevonden en geen enkele externe partij heeft toegang tot het netwerk? Ze hebben logging waaruit ze dit kunnen opmaken? Blijkbaar niet want ze lijken hun besluit louter te baseren op het feit dat er slecht "4k" werknemers zijn. Het feit dat er 9 datalekken waren afgelopen kwartaal pleit allerminst.

Prima dat ze het de autoriteit melden (waartoe ze zijn verplicht), maar wanneer de getroffenen daadwerkelijk last krijgen van identiteitsfraude kunnen ze niet eens de oorzaak achterhalen. Leuk als de gemeente jouw gegevens lekt en je vervolgens jaren bezig bent om het misbruik te stoppen en de schade op niemand kan verhalen.
01-09-2016, 13:16 door Anoniem
En dit is dus onze overheid. Niet in staat om de zaken goed voor elkaar te hebben.

En de drogreden dat het om het intranet gaat, en waarschijnlijk niemand ze ingekeken heeft, is kul! Je maakt afspraken, en die moet je gewoon nakomen. De gemeente Utrecht is dus niet in staat om te zien of de gegevens geraadpleegd zijn. Dat is basis logging in je systeem.

Dit geeft heel pijnlijk aan dat er dus geen technische kennis is bij de overheid, terwijl we steeds meer afhankelijk van worden.

Ook hier stel ik dus voor 1000 euro boete per persoonlijke record. Kost deze gemeente dus snel ff 140.000.000 euro! Als dit in dit tempo doorgaat, zullen er veel gemeentes en bedrijf binnen een jaar failliet zijn. Maar vermoed dat dit wel de enige drijfveer is om het probleem te fixen.

De boetes zijn lager dan de kosten van het ontwikkelen van een veilig platform. Dus er is geen drijfveer om te verbeteren.

TheYOSH
01-09-2016, 14:36 door Anoniem
Door Anoniem: En dit is dus onze overheid. Niet in staat om de zaken goed voor elkaar te hebben.

En de drogreden dat het om het intranet gaat, en waarschijnlijk niemand ze ingekeken heeft, is kul! Je maakt afspraken, en die moet je gewoon nakomen. De gemeente Utrecht is dus niet in staat om te zien of de gegevens geraadpleegd zijn. Dat is basis logging in je systeem.

Dit geeft heel pijnlijk aan dat er dus geen technische kennis is bij de overheid, terwijl we steeds meer afhankelijk van worden.

Ook hier stel ik dus voor 1000 euro boete per persoonlijke record. Kost deze gemeente dus snel ff 140.000.000 euro! Als dit in dit tempo doorgaat, zullen er veel gemeentes en bedrijf binnen een jaar failliet zijn. Maar vermoed dat dit wel de enige drijfveer is om het probleem te fixen.

De boetes zijn lager dan de kosten van het ontwikkelen van een veilig platform. Dus er is geen drijfveer om te verbeteren.

TheYOSH

Failliet haha dat zou een mooie wereld zijn; nee hoor de Utrechter gaat dan meer belasting betalen zo lost men dat altijd op.
01-09-2016, 14:37 door PietdeVries - Bijgewerkt: 01-09-2016, 14:37
Door Anoniem: En dit is dus onze overheid. Niet in staat om de zaken goed voor elkaar te hebben.

Gelukkig doen commerciële bedrijven het een stuk beter! Die hebben het goed met ons voor, toch? Het zou toch ondenkbaar zijn dat, bijvoorbeeld Dropbox, alle 64 miljoen (!!) wachtwoorden van haar gebruikers laat lekken en daar pas 4 jaar later actie op onderneemt? Dat zou Dropbox natuurlijk nooooit doen! Of LinkedIn, of... etc.
Beetje makkelijk fitten op de overheid, vind je niet?
01-09-2016, 15:08 door Anoniem
Door PietdeVries:
Door Anoniem: En dit is dus onze overheid. Niet in staat om de zaken goed voor elkaar te hebben.

Gelukkig doen commerciële bedrijven het een stuk beter! Die hebben het goed met ons voor, toch? Het zou toch ondenkbaar zijn dat, bijvoorbeeld Dropbox, alle 64 miljoen (!!) wachtwoorden van haar gebruikers laat lekken en daar pas 4 jaar later actie op onderneemt? Dat zou Dropbox natuurlijk nooooit doen! Of LinkedIn, of... etc.
Beetje makkelijk fitten op de overheid, vind je niet?

Bij de gemeente worden BSN nummers ook opgeslagen, dit is bij LinkedIn en Dropbox niet het geval.

Gaat die "stoere" AP nu eindelijk eens een boete uitdelen? Dit is echt ernstige nalatenheid, te laat melden en vervolgens zelf beslissen om de betrokkenen maar niet te informeren. Hoe kan dit?

En Plasterk blijft maar liegen over het feit dat gemeentes het op orde hebben....

Als je bewerker van bijzondere persoonsgegevens bent, en je laat je eigen omgeving niet auditten/toetsen/scannen dan ben je vreselijk dom en heb je naar mijn mening niet het recht om met deze persoonsgegevens te werken.

In een commerciële organisatie zou dit onder de noemer "wan beleid" vallen en is de directeur aansprakelijk.
01-09-2016, 16:08 door Anoniem
Door PietdeVries: Gelukkig doen commerciële bedrijven het een stuk beter!
Prima passend sarcasme. Iedere organisatie hoort afdoende maatregelen te nemen om persoonsgegevens te beschermen. Als we daar verschil in maken dan gaat het niet meer om de persoonsgegeven.

Het stukje in de Telegraaf om de nieuwswaarde vind ik terecht, maar ook wat jammerlijk sensationeel. Als je als journalist schrijft
Omdat de gegevens op het intranet stonden, zou het onwaarschijnlijk zijn dat de blootgestelde informatie werd ingezien en/of misbruikt. Bij de gemeente werken echter een kleine 4000 mensen.
dan had je op zijn minst kunnen uitzoeken of dat aantal werknemers iets uit maakt bij het lek. Dan heb je inhoudelijk wat aan gesuggereerde verband. Nu lijkt het alleen te dienen als opklopmiddel en is ook niet gefundeerd. Je kan namelijk ook stellen dat als iemand bij een gemeente werkt die persoon waarschijnlijk ook ergens bevoegdheid heeft om met persoonsgegevens om te gaan. Het gaat dus helemaal niet om het hoeveelheid ambtenaren dat bij de gemeente werkt. Een terechte vervolgvraag zou zijn geweest hoeveel werknemers dan bij die pagina's konden komen en hoe de gemeente kan uitsluiten dat de gegevens zijn ingezien zonder dat de personen daar noodzaak toe hadden. Maar juist die vragen lijken niet gesteld, wat de zucht naar snelle sensatie voor de Telegraaf belangrijker maakt dan de lezers duidelijk te maken hoe ernstig of groot het lek nu werkelijk was.

Na het lezen van het stukje in de Telegraaf heb ik de vraag of de journalist zelf aan het denken is gezet over de eigen omgang met persoonsgegevens. Als je worden in de mond neemt als "persoonsgegevens liggen op straat" als een willekeurig persoon niet bij de gegevens kan zonder eerst mederwerker te zijn of kopieen van paspoorten per mail worden verzonden dan heb je de bescherming van natuurlijk zelf geheel onder controle en zou je daar ook openlijk kritiek over leveren als er misstanden zouden zijn. Toch?
01-09-2016, 16:09 door Overcome
Door Anoniem:Ook hier stel ik dus voor 1000 euro boete per persoonlijke record. Kost deze gemeente dus snel ff 140.000.000 euro! Als dit in dit tempo doorgaat, zullen er veel gemeentes en bedrijf binnen een jaar failliet zijn. Maar vermoed dat dit wel de enige drijfveer is om het probleem te fixen.

Ik kan me voorstellen dat je zo denkt, maar dan? Wat heb jij aan een failliete overheid? Ten eerste, zoals Piet al aangeeft, worden de belastingen simpelweg verhoogd. Zo gaat het namelijk heel vaak bij overheden. Is er een gat in de begroting? Dan wordt de hondenbelasting verhoogd. Of de WOZ waarde van de woningen. Of de parkeertarieven. Of weet ik veel wat. Wie bloedt? Juist, de bevolking zelf. Daarmee tref je die bevolking dubbel.

Daarnaast, wat schiet je ermee op als een lokale overheid failliet is? Er zijn veel mensen afhankelijk van een lokale overheid, zeker met de overheveling van taken die de afgelopen tijd heeft plaatsgevonden. Al die mensen kunnen bloeden, doordat "de gemeente" honderden miljoenen moet betalen. Dat werkt ook niet.

Ik zou het meer zoeken in hoofdelijke aansprakelijkheid van de verantwoordelijken, onder curatele stellen van de gemeente totdat de beveiliging op orde is etc. Dan richt je je op de mensen die er een rommeltje van maken en geen of onvoldoende prioriteit geven aan de beveiliging van de persoonsgegevens van de inwoners die ze zeggen te dienen.

Door PietdeVries:Gelukkig doen commerciële bedrijven het een stuk beter!

Nee, integendeel. Maar bij commerciële bedrijven heb ik de mogelijkheid om weg te gaan als hun wanbeleid me echt begint te irriteren. Bij een lokale overheid heb ik dat vanwege wet- en regelgeving niet. Daardoor dient de security-lat bij overheden hoger te liggen. Daarnaast hebben lokale overheden veel meer informatie over haar burgers over veel meer verschillende onderwerpen. Ziektebeelden, inkomensgegevens, noem maar op. Een lek bij de gemeente heeft dus potentieel een veel grotere impact dan ... stel.... een wachtwoord van LinkedIn.
01-09-2016, 16:14 door Anoniem
Door PietdeVries:

Beetje makkelijk fitten op de overheid, vind je niet?

Je hebt gelijk dat het makkelijk is om de Overheid te bashen hierover maar bedenk wel wij (mijn of meer) vrijwillig onze gegevens aan Dropbox, LinkedIn etc. geven terwijl wij verplicht zijn die gegevens aan de gemeente te geven.
01-09-2016, 18:16 door Anoniem
Bij de gemeente worden BSN nummers ook opgeslagen, dit is bij LinkedIn en Dropbox niet het geval.
En die bedrijven lekken daarmee onvoldoende persoonsgegevens om een heel persoonlijk beeld te geven van meer mensen dan ooit Nederlander zijn geweest? Laat me niet lachen. Niet wil bedenken hoeveel verenigingsleden, collega's, marketeers, vrienden, familie, amateurstamboomonderzoekers, taxibedrijven, exen, horeca, bloemisten, psychologen, studievrienden, makelaars, goed doelen, buren, notarissen, verhuurders enz enz allemaal over jou verzamelen en delen via email, (whats)apps- of opslagdiensten met de meest beroerde bescherming (als ze die al gebruiken), dan leef je echt op een andere planeet.

Maar bij commerciële bedrijven heb ik de mogelijkheid om weg te gaan als hun wanbeleid me echt begint te irriteren. Bij een lokale overheid heb ik dat vanwege wet- en regelgeving niet. Daardoor dient de security-lat bij overheden hoger te liggen.
Niets verplicht je wettelijk om Nederlander te zijn, dus dat is ook een keuze. En waarschijnlijk een bewustere keuze dan dat we onze gegevens met allerhande bedrijven delen, of dat anderen dat over ons delen. En in de meeste gevallen kun je wel de illussie hebben dat je bij die bedrijven weg kan gaan, maar je hebt er in beginsel al geen zicht op wie wat over jou aan het delen is en of ze je persoonsgegevens wel voldoende beschermen of je rechten nakomen. En daar ga je ook niet achterkomen, al sleep je alle bedrijven voor de rechter. Dus hou toch op met dat verschil maken bij geklaag om verkeerd omgaan met persoonsgegevens.
02-09-2016, 20:06 door PJW9779
Hilarisch! Eerst Amsterdam, toen Amersfoort (http://www.binnenlandsbestuur.nl/digitaal/nieuws/datalek-amersfoort-niet-gemeld-vanwege-gebrek-aan.9540561.lynkx) en nu Utrecht.

Who's next?
14-09-2016, 12:03 door Anoniem
Korte reactie mijnerzijds.
Grootste deel van de reacties is toch denigrerend helaas.
Weet men wel wat intranet inhoudt? Denk het niet.
Succes verder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.